Nařízení e-privacy: Jak se změní nakládání s cookies?

Jasnější a jednodušší pravidla pro získávání a nakládání se soubory cookies slibuje Nařízení Parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích (nařízení o soukromí a elektronických komunikacích; „Nařízení“). Nařízení má nahradit směrnici 2002/58/ES [1] přezdívanou „cookie zákon“ a má mimo jiné obsahovat nová pravidla pro udělování souhlasu a upozorňování v souvislosti s využíváním cookies a jiných identifikátorů uchovávaných v zařízeních koncových uživatelů.

advokát, HAVEL & PARTNERS s.r.o., advokátní kancelář
advokátní koncipient, HAVEL & PARTNERS s.r.o., advokátní kancelář
Partner, HAVEL & PARTNERS s.r.o., advokátní kancelář
Foto: Fotolia

Vztah Nařízení k GDPR a další legislativní vývoj 

Nařízení tvoří, stejně jako obecné nařízení o ochraně osobních údajů[2] („GDPR“), součást strategie EU k dokončení jednotného digitálního trhu, tedy souboru předpisů upravujících volný pohyb dat. Ve vztahu k GDPR jde o normu zvláštní, která reguluje pouze specifickou oblast ochrany osobních údajů. Jako taková má před GDPR v případě rozporu aplikační přednost. Na záležitosti Nařízením neupravené se bude GDPR vztahovat podpůrně (například podmínky vyjádření souhlasu koncového uživatele apod.). Ačkoliv bylo nabytí účinnosti Nařízení původně plánováno na stejné datum jako účinnost GDPR, tedy 25. května 2018, legislativní proces se protáhl a konečná data platnosti a účinnosti zatím nejsou známa, stejně jako definitivní podoba Nařízení. K návrhu Nařízení předloženému Evropskou komisí („Komise“) přijal 26. října 2017 pozici Evropský parlament („Parlament“). Návrh se nyní bude projednávat v trialogu, kde se budou snažit zástupci Komise, Rady a Parlamentu dospět ke shodě. Podoba textu Nařízení se proto ještě může změnit. Návrh Nařízení v tomto článku proto reflektujeme v zatím posledním znění přijatém Parlamentem 26. října 2017.

Nařízení má rovněž představovat celounijní úpravu práva na soukromí v odvětví elektronických komunikací (mimo jiné v oblasti internetu, nevyžádané elektronické pošty, přímého marketingu, takzvaného internetu věcí a v dalších souvisejících oblastech). Subjekty, jichž se bude nová úprava dotýkat nejvíce, jsou především vývojáři software (internetových prohlížečů) a poskytovatelé služeb informační společnosti.

V tomto článku se zaměříme na jednu jeho část, která se však dotýká téměř každého provozovatele webových stránek, a vlastně i každého uživatele internetu, na tématiku cookies.

Nová úprava informování uživatele a souhlasu s využitím cookies 

Používání cookies, které umožňují jednoznačně rozpoznat koncové zařízení, představuje v současné době jedno z důležitých a často diskutovaných témat ochrany soukromí na internetu. V současné době je u nás právní regulace cookies obsažena v zákoně č. 127/2005 Sb., o elektronických komunikacích, avšak praxe (například užití tzv. cookie bannerů) není zcela jednotná. Sám Úřad pro ochranu osobních údajů nedávno přehodnotil svůj postoj k povinnosti získávat souhlas uživatele a ve svém doporučení[3] zveřejněném na webových stránkách uvádí, že souhlas s cookies je možné poskytovat nastavením běžných prohlížečů. Nařízení by podle všeho mělo ukončit používání těchto bannerů definitivně.

Přestože změna nových „cookie“ pravidel slibuje úsporu nákladů poskytovatelů služeb informační společnosti spočívající ve zrušení cookie bannerů, uživatelskou přívětivost a možná větší transparentnost ve vztahu k udělení souhlasu s cookies, povinnost získávat souhlas s využitím cookies pro velké množství účelů může naopak vést ke zvýšení nákladů a ke ztrátě části uživatelských databází pro cílenou reklamu a další výdělečné funkce webových stránek.

Návrh Nařízení obecně zakazuje využití funkcí zařízení koncových uživatelů jinými subjekty pro zpracování, uchovávání a shromažďování informací z něj, včetně informací o software a hardware. Z tohoto zákazu nicméně Nařízení stanoví výjimky. Těmito výjimkami jsou mimo jiné nezbytnost pro uskutečnění přenosu elektronické komunikace, nezbytnost pro poskytování služby informační společnosti požadované koncovým uživatelem po nezbytnou dobu (například za účelem přizpůsobení velikosti obrazovky zařízení nebo zapamatování položek v nákupním košíku). Dále se může jednat o nezbytnost získání informací o technické kvalitě nebo účinnosti poskytované služby informační společnosti nebo o funkčnosti koncového zařízení, které nemají žádný nebo malý vliv na soukromí dotčeného koncového uživatele, nezbytnost ochrany soukromí, zabezpečení nebo bezpečnosti koncového uživatele nebo udělení souhlasu koncovým uživatelem (s využitím definice v GDPR).[4]

Souhlas s využitím cookies by tedy například neměl být vyžadován pro technické uchovávání informací nebo přístup, které jsou nezbytně nutné a přiměřené legitimnímu účelu, kterým je umožnit využití konkrétní služby výslovně požadované uživatelem. To může zahrnovat využití cookies a jiných identifikátorů po dobu trvání jedné navázané relace s internetovou stránkou, aby bylo možné udržovat přehled o informacích zadaných koncovým uživatelem při vyplňování internetových formulářů o více stránkách.

Takové techniky, pokud jsou provázeny odpovídajícími opatřeními na ochranu soukromí, mohou být také legitimním a užitečným nástrojem například při měření návštěvnosti internetové stránky. Při takovém měření se má za to, že výsledkem zpracování nejsou osobní údaje, ale souhrnné údaje, a tento výsledek ani dané osobní údaje nejsou používány na podporu opatření nebo rozhodnutí týkajících se konkrétní fyzické osoby. Bezsouhlasovému režimu by měla podléhat také kontrola konfigurace ze strany poskytovatelů služeb informační společnosti za účelem poskytnutí služby v souladu s nastavením uživatele anebo pouhé zaznamenání skutečnosti, že určité zařízení není schopno přijmout obsah požadovaný uživatelem.

Nastavení využívání cookies v internetovém prohlížeči a dalším software

Volba nastavení povolování cookies by tak měla probíhat v obecném nastavení při instalaci internetového prohlížeče (ale i operačního systému či komunikační aplikace). Ukládání cookies třetími stranami a sledování napříč doménami bude muset být v základním nastavení zakázáno, volba by měla být vždy uživateli jednoduše k dispozici v nastavení prohlížeče.

Prohlížeče by nicméně měly umožňovat koncovým uživatelům udělit souhlas s cookies nebo jinými informacemi, které jsou uloženy v koncovém zařízení, i když obecné nastavení brání zasahování, a naopak. U konkrétní stránky by prohlížeče měly uživateli umožnit také udělit samostatný souhlas se sledováním na internetu. Dále by měl prohlížeč dovolit uživateli například nastavit, zda může být spuštěn jakýkoli software či zda webová stránka může shromažďovat údaje o zeměpisném umístění uživatele nebo mít přístup k určitému hardwaru, jako je webová kamera nebo mikrofon.

Kromě výše uvedeného budou mít poskytovatelé internetového prohlížeče povinnost nabízet dostatečně podrobné možnosti pro udělení souhlasu pro každou jednotlivou kategorii účelů. Takovými kategoriemi jsou přinejmenším sledování pro komerční účely nebo pro přímý marketing (behaviorálně cílená reklama), pro účely individualizovaného obsahu, sledování lokalizačních údajů, poskytování osobních údajů třetím stranám (včetně poskytování jedinečných identifikátorů, které odpovídají osobním údajům, jež mají třetí strany) nebo pro analytické účely.

Závěr 

Pokud bude Nařízení přijato ve stávající podobě, nebude možné využívat cookies bez aktivního souhlasu koncového uživatele pro jiné účely než pro zajištění funkcí nezbytných pro správné fungování webových stránek. Pokud by se navíc většina koncových uživatelů webu rozhodla na základě výše uvedených pravidel pro zachování základního nastavení „odmítnout přijímání cookies třetích stran“, může být pro inzerenty cílící na internetové prostředí obtížnější získat souhlas mimo nastavení prohlížeče, tedy přímou individuální žádostí na koncového uživatele. Jedním z důsledků těchto změn bude potřeba reflektování těchto změn provozovateli webových stránek v zásadách používání cookies, jejichž stávající podoba nebude s Nařízením v souladu.

Přestože úspora pro poskytovatele služeb informační společnosti může spočívat ve zrušení bannerů upozorňujících na používání cookies pro základní účely, povinnost získávat souhlas s využitím pro řadu dalších účelů, včetně marketingu, může vést ke zvýšení nákladů a ztrátě velké části uživatelských databází pro cílenou reklamu a další výdělečné funkce webových stránek.


[1] Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích).

[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

[3]https://www.uoou.cz/vismo/dokumenty2.aspid_org=200144&id=29966&n=cookies%2Da%2Dgdpr

[4] Souhlas (viz definice článek 4 bod 11 GDPR) je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být subjekt údajů nucen.

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články